English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập [Help] Giúp em xóa con backdoor.  XML
  [Question]   [Help] Giúp em xóa con backdoor. 18/04/2007 10:26:47 (+0700) | #1 | 54401
[Avatar]
 azteam
Member
[Minus]    0    [Plus]
Joined: 17/03/2007 21:12:46
Messages: 177
Location: /dev/null
Offline
[Profile] [PM]
Server của em đang dính 1 con backdoor .php. Nó view được cả list folder nhưng em không delete nó được. Mọi người có kinh nghiệm chống backdoor giúp em với.
[Up] [Print Copy]
  [Question]   [Help] Giúp em xóa con backdoor. 18/04/2007 17:34:41 (+0700) | #2 | 54447
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

azteam wrote:
Server của em đang dính 1 con backdoor .php. Nó view được cả list folder nhưng em không delete nó được. Mọi người có kinh nghiệm chống backdoor giúp em với. 


Em có làm chủ server đó không mà không xóa được? Server đó dùng hệ điều hành nào?

Chống backdoor tương tự với kiện toàn bảo mật. Nó không phải là một bước thực hiện mà là nhiều bước thực hiện.

Backdoor thường được cài trên file system nếu việc gán quyền thiếu chặt chẽ. Nên xét kỹ lại việc gán quyền và đây là một lỗi căn bản + thông thường nhất (mấy anh chàng làm web app và thiết lập hệ thống để web app của mình chạy cứ đè ra mà gán quyền thoải mái tối đa, miễn sao nó chạy là được).

Backdoor ở dạng php (hoặc tương tự) thường bị dính phải do bị thiếu sót trong việc cho phép include. Nên xét lại thật kỹ tại sao include và cái gì được phép include. Ngoài ra, những lỗi thường gặp như xss và sql injection cũng phải rà cho kỹ và fix hết.

Thông tin cho các vấn đề trên đã được bàn rất nhiều trên diễn đàn. Nên search, đọc và rút tỉa cho trường hợp của mình.

Good luck.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   [Help] Giúp em xóa con backdoor. 19/04/2007 03:05:46 (+0700) | #3 | 54509
[Avatar]
 azteam
Member
[Minus]    0    [Plus]
Joined: 17/03/2007 21:12:46
Messages: 177
Location: /dev/null
Offline
[Profile] [PM]

conmale wrote:


Em có làm chủ server đó không mà không xóa được? Server đó dùng hệ điều hành nào?
 

- Tất nhiên là em có quyền admin với server đó.
- Server em đang dùng Window server 2003.
Vấn đề là em phát hiện ra nó, nhưng sau khi em delete nó lại xuất hiện tiếp. Nó không cho em view code. Thế mới ác anh à.
Giờ không biết bắt đầu thực hiện từng bước như thế nào?. Server hầu hết đã được kiện toàn về bảo mật, có công cụ phát hiện backdoor nên từ trước đến giờ phát hiện là del thôi, giờ mới gặp trường hợp như vậy. Em cũng vừa được giao nắm quyền,chưa có kinh nghiệm về vấn đề này mấy.

conmale wrote:

Backdoor ở dạng php (hoặc tương tự) thường bị dính phải do bị thiếu sót trong việc cho phép include. Nên xét lại thật kỹ tại sao include và cái gì được phép include. Ngoài ra, những lỗi thường gặp như xss và sql injection cũng phải rà cho kỹ và fix hết.
 

Em sẽ xem lại vấn đề này. Cảm ơn anh "châm"
[Up] [Print Copy]
  [Question]   [Help] Giúp em xóa con backdoor. 19/04/2007 03:28:13 (+0700) | #4 | 54514
HoS
Member
[Minus]    0    [Plus]
Joined: 03/02/2007 15:07:38
Messages: 43
Offline
[Profile] [PM]
Xem lại có chỗ nào cho upload file không.
[Up] [Print Copy]
  [Question]   [Help] Giúp em xóa con backdoor. 19/04/2007 03:38:15 (+0700) | #5 | 54516
[Avatar]
 azteam
Member
[Minus]    0    [Plus]
Joined: 17/03/2007 21:12:46
Messages: 177
Location: /dev/null
Offline
[Profile] [PM]

HoS wrote:
Xem lại có chỗ nào cho upload file không. 


Tất nhiên là em phải kiểm tra cái này đầu tiên rồi.
Nói chung là ổn. Không có vấn đề j với upload file.
[Up] [Print Copy]
  [Question]   [Help] Giúp em xóa con backdoor. 19/04/2007 07:12:46 (+0700) | #6 | 54536
[Avatar]
 camaptrang
Member
[Minus]    0    [Plus]
Joined: 11/11/2004 01:43:32
Messages: 188
Location: US
Offline
[Profile] [PM] [Yahoo!]
Bạn dùng phần mềm mạnh mạnh scan cái win2k3 của bạn đi chứ delete không chắc hết không ?
Mỗi một đồng mua sản phẩm tàu, có thể sẽ trở thành một viên đạn bắn vào đồng bào chiến sĩ Vietnam ...
[Up] [Print Copy]
  [Question]   [Help] Giúp em xóa con backdoor. 19/04/2007 07:20:22 (+0700) | #7 | 54538
[Avatar]
 Mr.vinhhai
Member
[Minus]    0    [Plus]
Joined: 20/03/2007 01:28:05
Messages: 26
Location: Dreams
Offline
[Profile] [PM]
Nếu có chức năng view List file mà khi Delete nó lại Xuất hiện thì chắc nó có thêm chức năng của Wom, vì Wom thường có khả năng tự nhân đôi mà và Hệ Điều Hành bạn đang dùng lại là Windows Server 2k3 nữa.
Vậy có thể Suy ra là con này không hoàn toàn là 1 con ( Backdoor) Shell.php như anh Conmale đã nói, vì bạn không nói rõ là nó có khả năng view File chứ đâu hẳn phải chạy trong web app mới view được đúng không nhỉ?
Bạn hiện đang sài Soft Anti-virus nào cho Server? bạn có thể cập nhật bản mới hoặc thay đổi xem.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|